snort加入egd工控插件

最新推荐文章于 2022-07-28 11:08:05 发布
最新推荐文章于 2022-07-28 11:08:05 发布
阅读量209 收藏 1
点赞数
分类专栏: 开源组件 Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangzhicheng1983/article/details/114519403
版权

一 加入审计回调函数

// 全局声明
typedef void (*Egd_save_action_record)(void *, void *, int);   
Egd_save_action_record save_action_record = NULL;
// 初始化赋值
save_action_record = _dpd.icsSaveActionRecord;
// 调用
(*save_action_record)(p, &savemdb, ENUM_ACTION_EGD);

1.审计回调函数三个参数:

(1)void *p:指向snort解码后的网络分组包SFSnortPacket *p

(2)void *mdb:IcsSaveMdb对象指针,保存协议深度解析后的结果

(3)int type:协议的cid,标识协议的枚举值

2.审计回调函数作用:

开发snort.c里ICSSaveActionMDB和SaveActionMDB函数,审计回调函数最终会调用snort.c里的ICSSaveActionMDB和SaveActionMDB函数,分别用于将mdb内容拷贝到工控审计和传统审计的共享内存块,由审计业务进程消费后执行各种业务处理。

二 全局对象_dpd

dpd是一个非常重要的全局对象,它被所有插件引用,其定义在sf dynamic_preproc_lib,c中:

DynamicPreprocessorData _dpd;
PREPROC_LINKAGE int InitializePreprocessor(DynamicPreprocessorData *dpd)    // 初始化_dpd
{
    ...
    _dpd = *dpd;    // 结构体拷贝
    DYNAMIC_PREPROC_SETUP();// 调用插件的SetUp函数
}

(1)DynamicPreprocessorData数据结构:

定义在sf_dynamic_preprocessor.h中

typedef struct _ DynamicPreprocessorData {
    ...
    Save_action_record saveActionRecord;
    Save_action_record icsSaveActionRecord;
    ...
}DynamicPreprocessorData;

(2)_dpd赋值

saveActionRecord和icsSaveActionRecord分别是保存传统审计和工控审计的回调函数,它们在sf_dynamic_plugins.c的InitDynamicPreprocessors被赋值:

void InitDynamicPreprocessors(void)
{
    DynamicPreprocessorData preprocData;
    ...
    preprocData.icsSaveActionRecord = ICSSaveActionMDB; // ICSSaveActionMDB定义在snort.cc
    ...
    return InitDynamicPreprocessorPlugins(&preprocData);
}
 
int InitDynamicPreprocessorPlugins(DynamicPreprocessorData *info)
{
    DynamicPreprocessorPlugin *plugin;  // 指向插件链表(双向链表)
    plugin = loadedPreprocessorPlugins; // 插件链表头结点指针
    while (plugin)
    {
        int i = plugin->initFunc(info);      // 调用InitializePreprocessor 将info赋给全局对象_dpd
        ...
    }
}

(3)插件初始化_dpd

snort本身是单进程处理业务,当snort接收到数据包时,所有插件都会被遍历一遍,根据snort.conf配置从而进行相应处理。

(4)插件引用_dpd

dpd在sf_dynamic_preprocessor.h中声明为extern DynamicPreprocessorData _dpd;而每个插件头文件又包含了sf_dynamic_preprocessor.h,因此每个插件都可以引用到_dpd。

三 插件Setup函数

所有插件都有一个Setup函数,如SetupEgd,形如:

void SetupEgd(void)
{
    ...
    _dpd.registerPreproc("egd", EgdInit);
}

SetupEgd定义在spp_egd.c:

#define SetupEgd DYNAMIC_PREPROC_SETUP

这样InitializePreprocessor就可以Setup各个插件了。Setup函数又会调用pluginbase.c的RegisterPreprocessors,对插件进行初始化:

void RegisterPreprocessors(const char *keyword, PreprocConfigFunc pp_config_func)
{
    PreprocConfigFuncNode *node = (PreprocConfigFuncNode *)SnortAlloc(sizeof(PreprocConfigFuncNode));
    ...
    else
    {
        ...
        last->next = node;   // 将node插入链表最后
    }
    ...
}

RegisterPreprocessors会将插件的Init函数插入PreprocConfigFuncNode类型链表的末尾。

函数调用链:SetupEgd=》registerPreproc=》RegisterPreprocessors

四 插件处理函数

所有插件都有一个处理函数,如ProcessEgd,形如:

static void ProcessEgd(void *packetPtr, void *context)
{
    EgdSessionData *egdSessionData = NULL;
    // 以下过程是对egd报文进行解析,并保存解析结果
    ...
}

而ProcessEgd是由_dpd的addPreproc调用:

_dpd.addPreproc(sc, ProcessEgd, PROIRTY_APPLICATION, PP_EGD, PROTO_BIT_TCP | PROTO_BIT_UDP);
// addPreproc是指向sf_dynamic_plugins.c的AddPreprocessor
void AddPreprocessor(struct _SnortConfig *sc, void (*pp_func)(void *, void *), uint16_t priority, uint32_t preproc_id, uint32_t proto_mask) {
    ...
    return (void *)AddFuncToPreprocList(sc, preprocessorFunc,  priority, preproc_id, proto_mask);
}
// AddFuncToPreprocList是定义在pluginbase.c中
PreprocEvalFuncNode *AddFuncToPreprocList(SnortConfig *sc, PreprocEvalFunc pp_eval_func, uint16_t priority, uint32_t preproc_id, uint32_t proto_mask)
{
    ...
    tSfPolicyId policy_id = getParserPolicy(sc);    // 从传入的snort配置读取策略id
    ...
    p = sc->targeted_policies[policy_id];    // 获取具体策略指针
    ...
    else
    {
        PreprocEvalFuncNode *tmp = p->preproc_eval_funcs;
        // 从该策略处理函数链表中查找一个不同preproc_id并且优先级高结点,将pp_func插入该结点前
    }
    ...
    p->num_preprocs++;   // 累加该策略对应的处理函数数量
    ...
    return node;        // 返回链表中该结点
}

即pluginbase将策略对应的插件处理函数组织成链表,当插件调用addPreproc时都会向该链表插入一个新结点,并且链表是按优先级从高到低排序,越往头结点位置的结点优先级越高,也优先被snort调用。

I am 006!
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Snort预处理插件HelloWorld程序开发
IMBA_09的博客
07-10 1580
本文主要内容:Snort预处理插件开发步骤,关于Snort预处理插件程序资源的列举
VPP snort插件
redwingz的博客
07-31 931
VPP编译之前需要先安装daq库,下载libdaq-3.0.5源码,进行编译安装。之后下载vpp代码,编译之后,生成两个需要的so共享库libdaq_vpp.so和snort_plugin.so。将libdaq_vpp.so.22.02拷贝到目录/home/test目录下。
snort2.9.3预处理插件步骤整理修改版
09-08
snort2.9.3预处理插件步骤整理,去年本人根据以前开发经验在百度上上传过一份,后有人提出测试不通过,后发现在百度文库上传时忽略了第八步中关于makefile的修改,故重新再将修改后的提交。如果有什么问题可以继续联系。欢迎交流!
snort输出插件解析
wangzhicheng2013的专栏
07-28 686
snort输出插件 1 1.含义: 当snort检测到相关风险,会调用输出插件输出相关信息,例如,将告警信息发送到syslog服务器或者数据库进行存储等。 2.在配置文件中定义输出插件snort.conf可指定多个输出插件,具体格式是output 插件名:可选项信息,例如: output alert_syslog:log_auth log_alert #将告警信息发送到syslog服务器 log_auth为syslog的设施 log_alert为优先事项 output log_...
网络入侵检测系统之Snort(三)
诗酒趁年华
12-09 1262
Advantages Snort插件 Snort采用了模块化设计,其主要特点就是利用插件,这样有几个好处,一是用户可以自主选择使用哪些功能,并支持热插拔;二是依据设计需求对Snort扩展,即根据template.c设计第三方插件 目前插件按功能分成三类,数据流预处理插件,检测功能插件,输出日志信息插件插件的管理统一采用链表指针的方式 跨平台性 Snort支持Linux,OpenBSD,FreeBSD,Solaris,HP-UX ,MacOS,Windows等 规则语言简单 发现新攻击后,可以很
Snort-2.9.13-插件开发步骤.docx
07-08
Snort-2.9.13的预处理插件开发步骤以及遇到的问题,自己学习snort的时候写的。是预处理器插件开发的HelloWorld程序。
snort插件ruqinjiance
05-12
snort插件ruqinjiance
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
Snort安装与配置.docx
最新发布
05-08
期待你加入我的知识星球,让我们一起成长和进步 Windows下手把手教Snort的安装与配置 0x01 Snort 规则集类别 app-detect.rules – 此类别包含查找和控制生成网络活动的某些应用程序的流量的规则。此类别将用于控制.....
[求助]关于snort插件问题
wc258的专栏
04-10 932
我想做的是编写一个snort插件,主要用途是TCP异常检测,看其是否满足3次握手和四次握手.网络中对snort插件的文章讲的很少.如何用vc实现程序,还望高手指点一二.我现在是一点头绪都没有,希望大家给予支持和帮助.有什么好的文章和书籍还望告予.我先谢谢大家了. 
免费工控控件.zip
07-04
含EasyChart,仪表盘、LED灯、开关按钮等几十个控件,希望能帮助工控方面的开发人员加快开发速度。
Rx3i以太网接口模块之间的通信实例(EGD协议)
03-28
Rx3i以太网接口模块之间的通信实例(EGD协议)
Snort日志输出插件详解
weixin_33898233的博客
03-27 4017
Snort日志输出插件详解  Snort是一款老×××的开源***检测工具,本文主要讨论他作为日志分析时的各种插件的应用。Snort的日志一般位于:/var/log/snort/目录下。可以通过修改配置文件来设置Snort的报警形式。基于文本的格式、Libpcap格式和数据库是Snort最重要的三种报警形式。本文主要对每种报警形式及其配置进行介绍。1    工作模式及输出插件Snort拥有3种工作...
snort插件导入协议名和协议
wangzhicheng2013的专栏
03-18 176
一 概述 snort插件在做协议解析业务时需要知道查询名和相关联的协议ID,以便将协议解析结果和协议名称,协议ID都关联保存起来。总的业务流程如下: 1.snort主进程在启动时调用LoadProtocolAppName从数据库读取所有的appname和appid,调用LoadProtocolReference=》AddProtocolReferenceExtern将appname和appid插入哈希表; 2.snort插件如modbus插件等在启动时调用findProtocolRefere.
snort检测插件初始化流程
wangzhicheng2013的专栏
11-11 207
一 检测插件概述 1.代码位置:snort源码src/detection-plugins 2.作用:snort规则体可定义关键词,如对于ICMP协议的itype,icode等,这些关键词及其参数都会被检测插件解析,并调用检测插件相关函数进行处理。如在规则体定义itype:3,那么检测插件会根据输入分组packet结构的icmp协议的type和规则里itype进行比较操作。 二 检测插件Setup 每个检测插件都有Setup函数,例如sp_icmp_type_check.c中的SetupIcmpTyp
snort源码分析
安子自语
12-31 2592
http://www.cppblog.com/iniwf/archive/2012/05/18/77468.html OTN存储在hash表中 RTN独立存储,和OTN关联;多个OTN可能对应同一个RTN。 alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any  ---------------------------
MarkVI控制系统EGD通讯协议解析
qq_40654253的博客
01-17 2975
MarkVI控制系统EGD通讯协议解析 EGD通讯协议解析 LCI和励磁控制器通讯协议
工业通讯领域的总线、协议、规范、接口、数据采集与控制系统
热门推荐
悦分享
07-28 1万+
工控,指的是工业控制自动化,主要利用电气、机械、软件组合的方式实现, 即是工业控制系统,或者是工厂自动化控制。工控安全指的是工业控制系统的数据、网络和系统安全。随着工业信息化的迅猛发展,德国的“工业4.0”、美国的“再工业化”风潮、“中国制造2025”等国家战略的推出,以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合,工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化。但在工业企业获得巨大发展动能的环境背景下,也滋生了大量安全隐患,工控安全正面临严峻的挑战 。
信息安全概论——snort与单台防火墙联动
zz13634628165的博客
06-06 1365
一、实验目的本次实验所涉及并要求掌握的知识点。通过该实验可以加深理解Snort的系统架构以及工作原理,掌握Snort与Iptables联动的实现方法。 二、实验环境实验所使用的设备名称及规格,网络管理工具简介、版本等。服务器:snort-host(Centos6.5),IP地址: 10.1.1.12Snort版本: 2.9.7.6(最新) Guardian版本:1.7(最新)操作主机:host(WinXp), IP地址: 随机测试主机:test(WinXp),IP地址: 随机辅助工具请在实验机内下载使

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值